Forensische Analyse des Netzwerkverkehrs mit VTAP

Virtual Test Access Point (VTAP) ist ein Oracle Cloud Infrastructure-(OCI-)Feature, das Paketerfassung Ihres Netzwerkdatenverkehrs bereitstellt und die für anspruchsvolle Netzwerkanalysen erforderlichen Daten sammelt.

Paketerfassung hat sich im Laufe der Zeit weiterentwickelt. Als Theorie ist es die Praxis, den Netzwerkverkehr zur Überprüfung und Analyse zu erfassen. Praktisch bedeutet dies, alle möglichen Daten-Egress- und Ingress-Routen für jeden Bereich zu erfassen, der verdächtige Aktivitäten zeigt.

VTAP bietet einen OCI-nativen Service für die vollständige Netzwerkerfassung und -analyse. In OCI erfasst der Quell-VTAP Traffic basierend auf einem Capture-Filter, kapselt ihn mit dem VXLAN-Protokoll und spiegelt ihn im angegebenen Ziel. Sie können den gespiegelten Traffic in Echtzeit mit Standardtrafficanalysetools überwachen und analysieren oder den Traffic für eine umfassendere forensische Analyse zu einem späteren Zeitpunkt speichern.

Architektur

Diese Architektur verwendet VTAP, um Netzwerktraffic für die VNIC der virtuellen Maschine und Autonomous Data Warehouse zu erfassen. VTAP-Datenflüsse zum Netzwerk-Load Balancer und werden zur VTAP Traffic Data Compute-Instanz weitergeleitet.

Das folgende Diagramm veranschaulicht diese Referenzarchitektur.

Beschreibung der Abbildung vtap-forensic-analysis.png

vtap-forensic-analysis-oracle.zip

VTAP kann Traffic aus den folgenden Quellen spiegeln:

• Eine VNIC einer einzelnen Compute-Instanz in einem Subnetz
• Ein Load Balancer-as-a-Service (LBaaS)
• Eine OCI-Datenbank
• Ein Exadata-VM-Cluster
• Autonomous Data Warehouse über einen privaten Endpunkt

In dieser Architektur spiegeln wir den Traffic von der Webserver-VNIC und von Autonomous Data Warehouse. VTAP erfasst alle Pakete, die über die VNIC gehen.

VTAP-Traffic erfasst den Stream im Netzwerk-Load Balancer, der ihn an eine Compute-Instanz weiterleitet. Ein Listener, beispielsweise ein Netzwerk-Forensik-Tool, ruft den Stream ab und ermöglicht Ihnen, die Daten zu analysieren und die Client-/Server-Interaktionen auch bei Verwendung in einer geclusterten Topologie wiederherzustellen. Dadurch erhalten forensische Analyseteams eine größere Datenbreite bei nahezu sofortigem Setup sowie Echtzeitzugriff und -analyse.

Sie können die erfassten Daten auch mit Storage Gateway von Ihrem Forensik-Tool an OCI Object Storage senden. Anschließend legt Storage Gateway die entsprechenden Lebenszyklus- und Zugriffs-Policys für die Daten fest, damit keine Daten geändert, verloren oder beschädigt werden.

OCI Object Storage erfüllt behördliche und rechtliche Anforderungen für die langfristige Aufbewahrung von Datensätzen, sowohl hinsichtlich hoher Dauerhaftigkeit als auch hoher Verfügbarkeit. Sie können auch sicherstellen, dass während des forensischen Prozesses keine Daten bearbeitet werden, indem Sie Policys wie Objektsperren und unveränderliche Objekt- und Bucket-Typen aktivieren. Sie können mit dem Standard-OCI-Dateispeicher auf die Objekte mit anderen Tools zugreifen, die herkömmlichere hierarchische Dateisystemlayouts erfordern.

Diese Referenzarchitektur enthält die folgenden Komponenten.

• Region

  Eine Oracle Cloud Infrastructure-Region ist ein lokalisierter geografischer Bereich, der ein oder mehrere Data Center, so genannte Availability-Domains, enthält. Regionen sind nicht von anderen Regionen abhängig, und große Distanzen können sie trennen (über Länder oder sogar Kontinente).

• Availability-Domains

  Availability-Domains sind eigenständige, unabhängige Data Center innerhalb einer Region. Die physischen Ressourcen in jeder Availability-Domain sind von den Ressourcen in den anderen Availability-Domains isoliert, was Fehlertoleranz bietet. Availability-Domains haben keine gemeinsame Infrastruktur wie Stromversorgung oder Kühlung oder das interne Availability-Domainnetzwerk. Es ist also unwahrscheinlich, dass der Fehler in einer Availability-Domain die anderen Availability-Domains in der Region beeinflusst.

• Faultdomains

  Eine Faultdomain ist eine Gruppierung aus Hardware und Infrastruktur innerhalb einer Availability-Domain. Jede Availability-Domain umfasst drei Faultdomains mit unabhängiger Stromversorgung und Hardware. Wenn Sie Ressourcen über mehrere Faultdomains verteilen, können Ihre Anwendungen Fehler, Systemwartung und Stromausfälle innerhalb einer Faultdomain tolerieren.

• Virtuelles Cloud-Netzwerk (VCN) und Subnetze

  Ein VCN ist ein anpassbares, Softwaredefiniertes Netzwerk, das Sie in einer Oracle Cloud Infrastructure-Region einrichten. Wie bei traditionellen Data Center-Netzwerken haben VCNs die vollständige Kontrolle über Ihre Netzwerkumgebung. Ein VCN kann mehrere sich nicht überschneidende CIDR-Blöcke aufweisen, die Sie nach dem Erstellen des VCN ändern können. Sie können ein VCN in Subnetze segmentieren, die für eine Region oder eine Availability-Domain gelten können. Jedes Subnetz besteht aus einem nachfolgenden Adressbereich, der sich nicht mit den anderen Subnetzen im VCN überschneidet. Sie können die Größe eines Subnetzes nach dem Erstellen ändern. Ein Subnetz kann öffentlich oder privat sein.

• Flexible Network Load Balancing Service (Network Load Balancer)

  Der Network Load Balancer bietet automatisierte Trafficverteilung von einem Einstiegspunkt auf mehrere Backend-Server in Ihrem virtuellen Cloud-Netzwerk (VCN). Er wird auf Verbindungsebene ausgeführt und verteilt eingehende Clientverbindungen basierend auf Layer-3-/Layer-4-Daten (IP-Protokoll) auf fehlerfreie Backend-Server.

• Internetgateway

  Das Internetgateway ermöglicht Traffic zwischen den öffentlichen Subnetzen in einem VCN und dem öffentlichen Internet.

• Network Address Translation-(NAT-)Gateway

  Ein NAT-Gateway ermöglicht privaten Ressourcen in einem VCN den Zugriff auf Hosts im Internet, ohne dass diese Ressourcen für eingehende Internetverbindungen freigegeben werden.

• Autonomous Data Warehouse

  Oracle Autonomous Data Warehouse ist ein selbststeuernder, selbstsichernder und selbstreparierender Datenbankservice, der für Data Warehousing-Workloads optimiert ist. Sie müssen keine Hardware konfigurieren oder verwalten und keine Software installieren. Oracle Cloud Infrastructure verarbeitet das Erstellen der Datenbank sowie das Backup, Patching, Upgrade und Tuning der Datenbank.

• Object Storage

  Object Storage ermöglicht einen schnellen Zugriff auf große Mengen strukturierter und unstrukturierter Daten aller Inhaltstypen, darunter Datenbankbackups, Analysedaten und umfangreiche Inhalte wie Bilder und Videos. Sie können Daten sicher speichern und dann direkt aus dem Internet oder aus der Cloud-Plattform abrufen. Sie können den Speicher nahtlos skalieren, ohne dass dies zu einer Beeinträchtigung der Performance oder Servicezuverlässigkeit führt. Verwenden Sie Standardspeicher für "Hot"-Speicher, auf den Sie schnell, sofort und häufig zugreifen müssen. Verwenden Sie den Archivspeicher zum "kalten" Speicher, den Sie über lange Zeiträume beibehalten und selten oder nur selten aufrufen.

• Sicherheitsliste

  Für jedes Subnetz können Sie Sicherheitsregeln erstellen, die Quelle, Ziel und Traffictyp angeben, die in das Subnetz ein- und ausgehen dürfen.

• Routentabelle

  Virtuelle Routentabellen enthalten Regeln, um Traffic von Subnetzen an Ziele außerhalb eines VCN weiterzuleiten, in der Regel über Gateways.

Empfehlungen

Verwenden Sie die folgenden Empfehlungen als Ausgangspunkt für die Einrichtung und Verwendung von VTAP zur forensischen Analyse Ihres virtuellen Netzwerks.Ihre Anforderungen können sich von der hier beschriebenen Architektur unterscheiden.

• Trafficpriorität

  Aktivieren Sie den VTAP-Prioritätsmodus. Dadurch wird sichergestellt, dass überwachter Traffic und gespiegelter VTAP-Datenverkehr die gleiche Priorität erhalten. Wenn Sie diesen Modus aktivieren, kann der gespiegelte Traffic zu einem Teil des überwachten Traffics führen, wenn die Quelle überlastet wird. Wenn dieser Paketverlust erkannt wird, können Sie entweder den Prioritätsmodus deaktivieren oder die Quellausprägungen upgraden, um mehr Bandbreite zu erreichen.

• Forensik und Auditing

  Konfigurieren Sie den Objektspeicher, damit die Daten zuverlässig auditiert werden können. Zu den Best Practices gehören Auditlogs und die Verwendung von md5-Summen zur Validierung, dass Ihre Daten nicht manipuliert wurden.

Hinweise

Berücksichtigen Sie diese Einrichtungsoptionen bei der Aktivierung der VTAP-Datenerfassung in Ihrem Netzwerk.

• VTAP-Verfügbarkeit

  Das VTAP-Feature wird global eingeführt, ist jedoch möglicherweise nicht sofort in allen Regionen verfügbar. Wir empfehlen Ihnen, zu bestätigen, dass die Region für Sie verfügbar ist, bevor Sie sie verwenden möchten.

• Kostenfaktor

  Für VTAP fallen keine Gebühren an. VTAP erhöht jedoch den Datenverkehr auf der VNIC, für die eine Gebühr anfällt. Sie können die erforderlichen Ressourcen reduzieren, indem Sie einen VTAP-Capture-Filter anwenden, der für die zu analysierende Anwendung spezifisch ist, wie HTTP/80 oder HTTPS/443.

Mehr anzeigen

Erfahren Sie mehr über VTAP und forensische Analysen.

Prüfen Sie die folgenden zusätzlichen Ressourcen:

• Ankündigung von VTAP für Oracle Cloud Infrastructure
• Referenz für virtuelle Testzugriffspunkte
• Best Practices-Framework für Oracle Cloud Infrastructure
• Netzwerkprobleme mit dem Virtual Test Access Points-Service auf OCI beheben

Bestätigungen

• Autor: Michael Rutledge
• Mitwirkender: Hwang-Chiping